第 3 章 Red Hat build of OpenJDK 21 中的 FIPS 自动化
本章论述了如何在红帽构建的 OpenJDK 21 中实施 FIPS 自动化,以及 FIPS 自动化如何影响您的应用程序。
3.1. 安全供应商
启用 FIPS 模式后,红帽构建的 OpenJDK 21 将安装的安全供应商替换为受限列表。有些安全服务和算法可能会被丢弃,以便只有 FIPS 认证模块执行加密操作。以下列表描述了已安装的安全供应商、服务、算法和启用的配置:
- SunPKCS11-NSS-FIPS
根据
$JRE_HOME/conf/security/nss.fips.cfg
处找到的配置,使用 NSS 软件令牌初始化的 NSS 软件令牌(这是服务提供商的PKCS
BACKEND 后端):-
name = NSS-FIPS
-
nssLibraryDirectory = /usr/lib64
-
nssSecmodDirectory = ${fips.nssdb.path}
-
nssDbMode = readWrite
-
nssModule = fips
-
attributes (*,CKO_SECRET_KEY,CKK_GENERIC_SECRET)={ CKA_SIGN=true }
注意不鼓励更改此配置。
所有加密服务都已启用。这包括
AlgorithmParameters
,Cipher
,KeyAgreement
,KeyFactory
,KeyGenerator
,KeyPairGenerator
,KeyStore
,Mac
,MessageDigest
,SecretKeyFactory
,SecureRandom
, 和Signature
。-
- SUN
-
仅与 X.509 证书相关(
CertificateFactory
,CertPathBuilder
,CertPathValidator
,CertStore
),AlgorithmParameterGenerator
,AlgorithmParameters
, 和KeyStore
(JKS
,PKCS12
)服务被启用。 - SunEC
-
仅启用
AlgorithmParameters
和KeyFactory
服务。 - SunJSSE
-
仅启用与 TLS 相关的服务(
KeyManagerFactory
,SSLContext
,TrustManagerFactory
)和KeyStore
(PKCS12
)。 - SunJCE
-
仅启用
AlgorithmParameterGenerator
、AlgorithmParameters
、KeyFactory
和SecretKeyFactory
(除BKDF2
算法外)服务。 - SunRsaSign
-
仅启用
AlgorithmParameters
和KeyFactory
服务。 - XMLDSig
-
所有服务都已启用。这包括
TransformService
、KeyInfoFactory
和XMLSignatureFactory
。